El pasado 6 de octubre una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) invalidó una decisión de la Comisión Europea (Decisión 2000/520) que reconocía el procedimiento denominado  Puerto Seguro y cuyo objetivo era permitir  la transferencia de datos personales a entidades localizadas en EEUU.

El Puerto Seguro son una serie de principios junto con unas orientaciones sobre su aplicación para la protección de la vida privada, emitidos por el Departamento de Comercio de EEUU. Los principios se formularon para facilitar el comercio y las transacciones entre EEUU y la UE y a efectos de obtener la presunción de tener un nivel adecuado de  protección de datos personales. Es la propia entidad estadounidense la que certifica su adhesión a los denominados principios de puerto seguro.

Al rechazar el régimen de Puerto Seguro, el impacto de la sentencia del TJUE puede ser relevante para todas aquellas entidades europeas que tienen proveedores en EEUU, o servidores en EEUU, que para prestar los servicios reciben datos personales de clientes, usuarios  o empleados de la Unión Europea.

El origen del caso es una denuncia de un ciudadano austríaco, Maximillian Schrems,  reclamando que se prohibiera a Facebook Ireland  transferir sus datos personales a EEUU, donde Facebook también tiene servidores que llevan a cabo tratamiento de datos. El Sr. Schrems alegaba que en EEUU no había una protección suficiente del derecho fundamental de privacidad, para ello hacía referencia a las revelaciones del Sr. Edward Snowden sobre las actividades de los servicios de información de EEUU.

La High Court en Irlanda elevó el caso al TJUE, el competente para declarar inválidos actos de la Unión Europea, como la decisión de la Comisión que reconoció el Puerto Seguro.

El análisis del TJUE  parte de la base de que  la legislación interna o los compromisos internacionales de EEUU deben garantizar un nivel de protección de libertades y derechos fundamentales sustancialmente equivalentes a los establecidos en la Directiva 95/46 de la Unión Europea. En función de este principio, para invalidar la decisión de la Comisión, la sentencia del TJUE consideró, entre otros,  los siguientes aspectos:

• No incluye una constatación de reglas estatales que limiten la injerencia por parte de las autoridades en el derecho de privacidad de los datos, injerencias que son aceptadas cuando afectan a intereses legítimos como la seguridad nacional.

• La propia Comisión constató, en una comunicación que envió al Parlamento Europeo y al Consejo en 2013, que las autoridades estadounidenses podían acceder a datos personales y tratarlos de manera incompatible con las finalidades que originaron la transferencia de datos, yendo más allá de lo estrictamente necesario para la protección de la seguridad nacional. En este sentido, el TJUE considera que acceder de forma generalizada a los datos, como es la vigilancia de forma masiva e indiscriminada del contenido de las comunicaciones electrónicas, lesiona el contenido esencial del derecho fundamental al respeto de la vida privada.

• Los mecanismos de arbitraje que están previstos se limitan a litigios comerciales sin poderse aplicar a litigios sobre la legalidad de las medidas de las autoridades. El TJUE consideró que no existe de una protección jurídica eficaz contra las injerencias de las autoridades.

• Considera lesivo una normativa que no prevé la posibilidad de que los afectados tengan derecho a acceder a sus datos personales para obtener su rectificación o supresión.

La reacción a la sentencia no se ha hecho esperar por parte de las autoridades  europeas de protección de datos, que han emitido un comunicado haciendo un llamamiento a los Estados miembros para iniciar conversaciones con las autoridades estadounidenses a fin de encontrar soluciones políticas y técnicas que permitan transferencias de datos a EEUU respetando los derechos fundamentales. Si a finales de enero de 2016 no se ha encontrado una solución adecuada con las autoridades estadounidenses, y en función de la evaluación de las herramientas de transferencia por parte del Grupo de Trabajo, las Autoridades de protección de datos de la UE se comprometen a adoptar todas las medidas necesarias y apropiadas, que pueden incluir acciones coordinadas de aplicación de la ley.